提升 VMware Engine 权限

Google Cloud VMware Engine 权限授予 vCenter 用户执行正常操作所需的权限。在私有云 vCenter 中,一些管理功能需要额外的权限。如需执行此类任务,您可以在限定升级时间间隔内升级 vCenter 用户的权限。

升级权限的原因包括:

  • 配置身份源
  • 用户管理
  • 删除分布式端口组
  • 创建服务帐号

权限升级的工作原理

只有在 vCenter 上配置了其他身份提供商,才能升级远程用户的权限。权限升级涉及将所选用户添加到 vSphere 内置的管理员群组中。

必须将来自其他身份源且需要管理访问权限的用户添加为 CloudOwner 群组的成员。要授予比 CloudOwner 群组更少的权限,请创建其他群组并为其分配用户。

升级权限

  1. 访问 VMware Engine 门户。
  2. 打开资源页面。
  3. 选择您要为其升级权限的私有云。
  4. 摘要页面上的更改 vSphere 权限下,点击提升
  5. 选择 vSphere 用户类型。如需使用 Active Directory 等已配置的身份源,请选择远程身份,然后以用户主体名称 (UPN) 格式输入用户和网域(例如 user@domain)。
  6. 从列表中选择升级时间间隔。选择可让您完成该任务的最短时间间隔。
  7. 选中相应复选框以确认您了解相关风险。
  8. 点击确认

权限升级开始并持续到选定的间隔结束。在此期间,您可以登录到您的私有云 vCenter 进行特定的管理任务。

延长权限升级期

如果您需要更多时间来完成任务,可以延长权限升级时间间隔。选择可让您完成管理任务的其他升级时间间隔。

  1. 资源页面上,选择要扩展权限升级的私有云。
  2. 摘要标签页上,点击扩展权限升级
  3. 从列表中选择升级时间间隔。查看新的升级结束时间。
  4. 点击保存

恢复权限

在升级时间间隔结束时,权限会自动恢复。如果您在升级时间间隔结束之前完成管理任务,我们建议您恢复权限。

  1. 资源页面上,选择要为其恢复权限的私有云。
  2. 点击恢复
  3. 点击确定

禁止执行的操作

当 VMware Engine 检测到以下任何禁止执行的操作时,VMware Engine 会还原更改,以确保服务不会中断。

集群操作

以下集群操作会被禁止:

  • 从 vCenter 中移除集群。
  • 在集群上更改 vSphere 高可用性 (HA)。
  • 通过 vCenter 向集群添加主机。
  • 通过 vCenter 从集群中移除主机。
  • 在集群上更改 vSphere 分布式资源调度器 (DRS)。
  • 重命名集群。

主持人可执行的操作

以下主机操作会被禁止:

  • 移除 ESXi 主机上的数据存储区。
  • 从主机卸载 vCenter 代理。
  • 修改主机配置。
  • 对主机配置文件进行任何更改。
  • 将主机置于维护模式。

网络操作

vCenter Server 中禁止以下网络操作:

  • 删除私有云中默认的分布式虚拟交换机 (DDS)。
  • 从默认的 DDS 中移除主机。
  • 导入任何 DDS 设置。
  • 重新配置任何 DVS 设置。
  • 升级任何 DDS。
  • 删除管理端口组。
  • 修改管理端口组。

NSX-T Manager 禁止以下网络操作:

  • 添加新的 NSX-T Edge 节点。
  • 更改现有的 NSX-T Edge 节点。

角色和权限操作

以下角色和权限操作会被禁止:

  • 修改或删除对任何管理对象的权限。
  • 修改或移除任何默认角色。
  • 提升角色的权限使其高于 Cloud-Owner-Role。

其他操作

以下操作也会被禁止:

  • 移除任意默认许可:
    • vCenter 服务器
    • ESXi 节点
    • NSX-T
    • HCX
  • 修改或删除管理资源池。
  • 克隆管理虚拟机。
  • 为工作负载虚拟机分配管理网络。
  • 在工作负载虚拟机的管理网络 IP 地址范围中使用 IP 地址。
  • 重命名数据中心。
  • 使用 vCenter 服务器设备管理接口 (VAMI) 配置 syslog 转发。
  • 将您的私有云 vCenter 加入 Active Directory 网域。
  • 使用 VMware 工具或 API 调用重置 vCenter 或 NSX-T 登录凭据。温馨提示,您可以从私有云详情页面检索或重置生成的凭据
  • 在 vSphere 客户端中更改统计信息收集间隔或统计信息级别。

后续步骤